Après le piratage critique du fabricant de jouets VTech, et la fuite de données personnelles qui concerne 2 millions de clients français, l’UFC Que-Choisir décide de porter plainte auprès du tribunal de grande instance de Versailles sur le fondement de de l’article 226-17 du Code pénal.
L’affaire avait fait grand bruit fin novembre lorsque le monde a appris que pas moins de 6,4 millions de comptes de clients et utilisateurs du constructeur de jouets chinois VTech avaient été volés ainsi que des informations sur environ 200 000 enfants. Parmi eux, 2 millions de clients et utilisateurs français, ce qui fait arriver la France en seconde position dans l’ordre des pays victime du piratage.
L’attaque contre VTech sera d’ailleurs une des plus importantes de 2015, juste derrière Ashley Madison et ses 30 millions de comptes piratés…
La cause de cette immense fuite de données privées est due comme bien souvent à une vulnérabilité logicielle, cette fois située au sein de la boutique d’application Learning Lodge, qui a permis à un pirate informatique de s’introduire dans le système informatique de VTech (du moins dans la pertie accessible depuis Internet) et a pu avoir accès à la base de données de la boutique, via une injection SQL, ainsi qu’à celle de la plateforme de téléchargements Explora Park. Or, comme le rappel si bien l’association UFC Que-Choisir, cette méthode d’intrusion, relativement simple via des logiciels automatisés, est identifiée depuis près de 13 ans !
Cette méthode « peut aisément être mise en échec, si des règles simples de protection sont mises en œuvre », écrit l’UFC Que-Choisir dans un communiqué annonçant qu’il a déposé une plainte contre le fabricant. « La faute qui semble avoir été commise par la société VTECH est intolérable », poursuit l’association de consommateurs.
« Force est de constater que l’action d’un seul pirate a suffi à violer les serveurs de VTech et à extraire, au nez et à la barbe de l’entreprise, les données de près de 6 millions d’enfants dans le monde, dont 1 million d’enfants français ! En outre, VTech n’aurait pas décelé l’intrusion subie avant d’avoir été interrogé par la presse ».
VTech – Des millions de données personnelles volées
« Scandalisée face à ce manque apparent de sécurisation et déterminée à ce que l’ensemble des responsabilités soit établi », l’UFC Que-Choisir dépose plainte contre VTECH auprès du tribunal de grande instance de Versailles sur le fondement de l’article 226-17 du Code pénal. Elle estime que le professionnel met en danger les données de ses clients.
Rappelons que les données dérobées sont très complète, comprenant les mails et les adresses postales des parents ainsi que des prénoms, sexes et dates de naissance, adresse IP mais également des photographies, et même des extraits audio ou vidéo des enfants, qui étaient stockés sur le serveur Web.
Déjà une arrestation du pirate présumé
L’auteur de cette attaque pourrait bien être un jeune britannique de 21 ans selon la BBC. En effet, la police anglaise enquêtant sur cette affaire a confirmé avoir interpellé un suspect à Berkshire. Celui-ci est soupçonné “d’accès non autorisé à un ordinateur pour faciliter la perpétration d’une infraction” écrit la police.
En tout cas, le coup a été terrible pour VTech, le scandale du piratage ayant eu lieu juste avant les achats de Noël, période critique pour le fabricant de jouets numériques… la question qui est légitime de se poser actuellement est : “Les jeux connectés sont-ils aujourd’hui destinés à la collecte massive de données privées des utilisateurs ?“
Les commentaires sont fermés.